В среду, 12 июля, Госдума приняла в третьем, окончательном чтении пакет правительственных законопроектов, касающихся обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации.

Dice Insights

Согласно законопроекту, объектами КИИ являются информационные системы и телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности и химической промышленности, а также организаций в сфере науки.

Каждому из объектов КИИ будет присваиваться категория значимости, и все они будут внесены в специальный реестр.

Владельцы объектов КИИ будут обязаны информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечить возможность восстановления функционирования объекта за счёт создания резервных копий информации.

Собственниками или пользователями объектов КИИ на праве аренды или иного законного основания, должны быть «российские юридические лица или индивидуальные предприниматели». Вместе с тем, «являющиеся собственниками таких объектов иностранные компании, осуществляющие свою деятельность на территории РФ, представляющие свои интересы через российские юридические лица, смогут продолжить свою работу без ограничений».

Согласно ещё одному блоку поправок, в УК РФ вводится новая статья «Неправомерное воздействие на критическую информационную инфраструктуру РФ». Согласно ей предусмотрена максимальная ответственность до 10 лет лишения свободы, в том числе за неправомерный доступ к информации из объектов критической информационной инфраструктуры, а также за создание хакерских программ для неправомерного воздействия на критическую информационную инфраструктуру.

Госдума РФ приняла в первом чтении законопроект, определяющий основные принципы госрегулирования в сфере защиты критической информационной инфраструктуры страны от хакерских атак.

TechDissected

«Законопроектом устанавливаются основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов РФ в области обеспечения безопасности критической информационной инфраструктуры, а также права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами критической информационной инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов», — указано в пояснительной записке к законопроекту.

Пакет поправок в законодательство о связи, гостайне и правилах госнадзора был подготовлен ФСБ в рамках утвержденной президентом Владимиром Путиным доктрины информационной безопасности. Замдиректора ФСБ Дмитрий Шальков отметил, что «российская информационная инфраструктура постоянно подвергается хакерским атакам». В качестве примера он привёл массированную атаку на финансовый сектор страны на протяжении с 8 по 14 ноября 2016 года, объектами которой стали Сбербанк, Росбанк, Альфа-Банк, Банк Москвы, Московская биржа и другие банки.

К критической инфраструктуре относятся информационные системы и телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Объекты критической инфраструктуры будут занесены в специальный реестр и проранжированы по уровню значимости.

Законопроект также предполагает внесение поправок в Уголовный кодекс РФ, предусматривающих до 10 лет лишения свободы за неправомерное воздействие на госструктуры, создание хакерских программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру РФ. В случае принятия законопроекта, поправки в Уголовный кодекс РФ вступят в силу с 1 января 2018 года, остальные поправки начнут действовать с начала 2017 года.

В Госдуме предлагают внести изменения в законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», который уже принят в первом чтении, и сейчас идёт подготовка ко второму чтению.

indexventures.com

Комитет Госдумы по информационной политике, информационным технологиям и связи планирует обсудить с правительством предложение об ограничении владения иностранными компаниями объектов критической информационной инфраструктуры. К ним относятся информационные и телекоммуникационные системы в госорганах, оборонпроме, здравоохранении, транспорте, связи, кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей и химической промышленности, а также металлургии. В этот перечень также входят автоматизированные системы управления на предприятиях перечисленных выше отраслей.

Для учёта подобных объектов предложено завести специальный реестр. Что касается владельцев, то под запрет могут попасть компании с иностранным участием либо аффилированные с иностранными государствами, международными и неправительственными организациями.

Глава ИТ-комитета Госдумы Леонид Левин пояснил, что в случае утверждения, изменения коснутся владельцев и операторов критических объектов, и никоим образом не отразятся на пользователях. «Мы считаем, что у компаний, которые владеют или распоряжаются объектами критической инфраструктуры, должны быть в России юрлица, — заявил Левин. — Это позволит обеспечить прозрачность структуры собственности, видеть, кто гендиректор, платятся ли в России налоги и так далее».

Корпорация Microsoft сообщила об обнаружении опасной уязвимости в браузере Internet Explorer, которая позволяет киберпреступникам захватить полный контроль над удалённым компьютером.

huffingtonpost.com

Проблема затрагивает обозреватели Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 и Internet Explorer 11. По статистике Net Applications, в марте с этими браузерами работали почти 58 % владельцев персональных компьютеров с подключением к Интернету. Таким образом, опасности подвержен каждый второй ПК-пользователь, выходящий во Всемирную сеть.

Отмечается, что причина проблемы кроется в особенностях работы браузера с объектами в памяти, которые были удалены или некорректно размещены. Уязвимость приводит к повреждению данных в памяти, после чего злоумышленник получает возможность выполнить на компьютере жертвы произвольный программный код, в том числе получить контроль над атакуемой системой.

Для организации нападения можно, к примеру, разместить в Интернете сформированную специальным образом веб-страницу и заманить на неё потенциальную жертву, скажем, прислав гиперссылку в электронном письме. Microsoft отмечает, что уже зафиксированы случаи практической эксплуатации «дыры», но пока они «носят ограниченный характер».

pcworld.com

Проблема теоретически затрагивает пользователей всех операционных систем Windows. В случае с Windows XP опасность может быть наиболее высокой, поскольку поддержку этой платформы Microsoft недавно полностью прекратила.

Редмондская корпорация изучает проблему и готовит соответствующий патч. Вероятно, он войдёт в состав следующей порции ежемесячных апдейтов, выход которой состоится 13 мая.

Корпорация Microsoft устранила довольно серьезную уязвимость в линейке операционных систем Windows, допускавшую возможность запуска произвольного кода на удаленном компьютере.

Согласно опубликованной на страницах портала Security TechCenter информации, обнаруженная брешь связана с особенностями реализации стека TCP/IP, недоработки которого позволяли злоумышленникам посредством трансляции специально сконструированного потока UDP-пакетов на закрытый порт производить выполнение вредоносного кода на атакуемой машине. Дыра, охарактеризованная как критически опасная, обнаружена в 32-х и 64-битных редакциях Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.

Вместе с заплаткой для критической уязвимости компания Microsoft в рамках программы по выпуску обновлений представила три дополнительных патча, также закрывающих дыры различной степени опасности в программных продуктах софтверного гиганта.

Загрузить патчи можно через встроенные в Windows средства автоматического обновления либо воспользовавшись веб-узлом Microsoft Update. Во избежание проблем с безопасностью компьютера, настоятельно рекомендуется установить апдейты при первой же возможности.

Материалы по теме:

• Вирусописатели нацелились на платформу Android;
• Интернет-мошенники все активнее используют громкие информационные поводы;
• Россия вышла на первое место в Европе по числу спам-ботнетов.

Источник:

• technet.microsoft.com